Im Supermarkt will man Äpfel kaufen. Sind aber keine da. Jetzt kann man sich überlegen: Kaufe ich Birnen, weil mir die Stückchen wichtig sind? Oder greife ich zu Apfelsaft, weil mir das Aroma wichtiger ist? Das ist meine Entscheidung, in meinem Kontext.
Spätestens, wenn das Toilettenpapier aus ist, zeigt sich, was souveräne Entscheidungen und Alternativmöglichkeiten wirklich sind.
Genau darum geht es bei Souveränität. Nicht um Autarkie. Nicht um Abschottung. Sondern um die Fähigkeit, in einer gegebenen Situation auf Basis eigener Kenntnis eine bewusste Entscheidung zu treffen. Auch dann, wenn die Optionen nicht ideal sind.
Was gerade diskutiert wird
In der politischen Debatte ist digitale Souveränität zu einem Schlagwort geworden. EU-Cloud, europäischer Stack, Deutschland-Stack, Delos Cloud: Die Begriffe fliegen durch Pressemitteilungen und Konferenzprogramme. Im Kern geht es meistens um eine Frage: Wo liegen unsere Daten, und welchem Recht unterliegen sie?
Das ist eine relevante Frage. Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, auch wenn die Server physisch in Europa stehen. Der Chefjustiziar von Microsoft France hat vor dem französischen Senat bestätigt, dass es keine Garantie dafür gibt, dass EU-Daten nie in die USA übermittelt werden. Das Konto des Chefanklägers am Internationalen Strafgerichtshof wurde auf Dekret des US-Präsidenten von Microsoft gesperrt. Das sind keine theoretischen Szenarien. Das ist Realität.
Aber diese Realität ist nur ein Teilaspekt. Und wer Souveränität auf die Frage der Jurisdiktion reduziert, übersieht das Wesentliche.
Was Souveränität tatsächlich bedeutet
Wenn ich irgendwo hinfliegen will und auf dem Weg eine Zugverbindung liegt mit zweimal Umsteigen, dann spiele ich im Kopf alles durch: Das Bodenpersonal streikt. Die Feuerwehr streikt. Die Piloten streiken. Die Bahn hat einen Vorfall, weil wieder irgendetwas auf den Gleisen gelandet ist. Die Züge stehen, weil es zu heiß ist. Die Züge bleiben stehen, weil Schnee liegt. Und trotzdem bleibt ein Restrisiko. Es kann immer noch sein, dass ich meinen Flieger verpasse. Und wenn es möglichst klappen soll, reise ich einen Tag vorher an.
All das entscheiden wir souverän in der echten Welt. Weil wir damit aufgewachsen sind.
Die digitale Welt begreifen wir schwerer. Sie ist uns viel fremder. Die wenigsten verstehen, wenn jemand sagt, dass Cloudflare ausgefallen ist. Da weiß man kaum, was das eigentlich für einen selbst bedeutet. Wenn aber der Wetterdienst sagt, morgen kommt ein Tornado in die Region, dann weiß man, was zu tun ist. Man ist vorbereitet.
Das fehlt uns in der digitalen Welt. Es ist eine Frage der Kompetenz, in die wir hineinwachsen müssen.
Was Souveränität nicht ist
Souveränität ist nicht, einen EU-Aufkleber auf eine Cloud zu kleben und zu glauben, damit sei das Problem gelöst. Denn welches Problem löse ich eigentlich, wenn ich die juristische Seite adressiere?
Wenn dort, wo meine Daten liegen und verarbeitet werden, EU-Recht gilt statt US-Recht, dann schütze ich mich vor manchen Aspekten etwas mehr. Die Daten lassen sich vielleicht schwerer von außen einsehen, und das Risiko sinkt, dass aus geopolitischen Gründen meine Dienste abgeschaltet werden. Auf null sinkt es dennoch nie.
Dass jemand mitlesen kann, geht auch auf anderen Wegen. Spione gibt es seit jeher, und in der digitalen Welt handeln sie ungefragt. Und dass etwas abgeschaltet wird, kann geopolitische Gründe haben, genauso aber schlicht ein Stromausfall dort, wo der Server steht. Oder ein Kabelschaden auf dem Weg dorthin. Oder ein Ausfall beim eigenen Internetprovider.
Risiken verschieben sich. Sie verschwinden nicht.
Vielleicht sind die Dienste eines großen internationalen Anbieters stabiler als die eines kleineren lokalen. Vielleicht ist es auch gar nicht so dramatisch, wenn jemand meine Kochrezepte mitlesen kann. Vielleicht sind aber die Patentunterlagen und Kundendaten eine andere Kategorie.
Genau diese Differenzierung ist Souveränität: wissen, wovon ich abhänge. Die Risiken kennen. Und auf dieser Basis bewusst entscheiden, auch die, alles zu lassen, weil die Abwägung das ergibt.
Was das für ein Unternehmen heißt
So sollte es in einem Unternehmen sein, das aktiv gesteuert wird. Man überlegt sich: Wo sind die Prozesse? Welche Wertschöpfungskette trägt wirklich den Gewinn? Und auf dieser Basis kann man unterschiedliche Risiken eingehen und abwägen.
Wer seine Wertschöpfungskette kennt, vom Auftrag bis zum Geldeingang, und weiß, welche digitalen Werkzeuge sie tragen, entscheidet souverän. Er weiß, wo ein Ausfall kritisch wäre und wo er verkraftbar ist. Er begegnet seinem Cloud-Anbieter auf Augenhöhe, weil er versteht, was auf dem Spiel steht.
Wer das übersieht, folgt dem Hype, dem IT-Dienstleister oder dem Zufall. Das ist keine Souveränität. Das ist Hoffnung.
Und genauso wie wir individuell leben, ist auch jedes Unternehmen individuell. Es gibt niemanden da draußen, der sagen kann oder sollte: Mach es so oder so, weil das Standard ist. Oft ist es gerade die Individualität des Unternehmens, weshalb es am Markt existieren kann.
Seit 2021 verpflichtet § 1 StaRUG die Geschäftsleitung haftungsbeschränkter Unternehmen, bestandsgefährdende Entwicklungen fortlaufend zu überwachen; seit November 2025 konkretisiert der IDW S 16, wie ein Krisenfrüherkennungssystem mindestens aussehen muss. Eine dokumentierte Risikoabwägung ist im Ernstfall der Unterschied zwischen persönlicher Haftung und Entlastung. Keine Drohung, sondern Tatsache: Wer seine Abhängigkeiten kennt und festhält, hat im Zweifel ein Argument.
Was bleibt
Souveränität heißt: Ich entscheide. Über meine Preise, Konditionen und Regeln bestimmt kein anderer. Ich weiß, was wo liegt, ich kann jederzeit umziehen, und manchmal bleibe ich bewusst, weil ich die Risiken abgewogen habe.
Das ist keine IT-Frage. Das ist eine Frage der Geschäftsführung.